Gizlice Takip Edenleri Öğreneyim Derken Yok Olmayın #ResimliAnlatım

Discussion in 'Social Engineering / Sosyal mühendislik' started by Y4K4L4, Aug 5, 2018.

  1. Y4K4L4

    Y4K4L4 ☾★ T'ÜRK ☾★

    Major
    Mesajlar:
    216
    Likes Received:
    531
    [​IMG]

    İlgili reklama tıkladığımızda bu sayfa karşılıyor bizi ve sosyal medyayı kullanan kitlenin genelinin yapmak istediği şeyleri tek tek gözümüze sokarak iyice cezbediyor beynimizi ve “harekete geç” dercesine sağdaki seçeneklere tıklamamızı istiyor.

    [​IMG]

    Seçeneklerden birine tıkladığımız zaman otomatik olarak bir eklenti yükle pop-up’ı açıyor. Bu noktadan sonra eklentiyi analiz etmek için kolları sıvamamız gerekiyor ve mağazadan eklentimize ulaşıyoruz.

    [​IMG]

    Hızlıca kaynak kodlarına ulaşmak istediğimden https://johankj.github.io/convert-crx-to-zip/ burayı kullanarak eklentimizi zip formatına dönüştürdük ve “akıllı dostlarımızın” kodlarına bir adım daha yaklaştık.

    [​IMG]

    Gönüllerimizin efendisi, en “güvenilir” dostumuz js karşıladı baştan.(Yanlışlıkla ellerim felan diye uzantıyı değiştirdim. bg.js orijinal dosya adı)
    Hızlıca kodları okumaya başlayalım diyerek bir hışımla açtık js dosyamızı. O da nesi ?

    [​IMG]

    Zeki dostlarımız harika bir obfuscate yöntemi ile kodları karıştırmışlar ve benim işimi 3 kat zorlaştırdılar !
    “Google’dan” javascript deobfuscator diye aratarak ulaştığım ve işimi hep güzelleştiren “JSNice” yardımcı oldu bu konuda. http://jsnice.org/

    [​IMG]

    Saldırganların, eklentiyi kullananların Facebook cookilerine göz diktiği bariz olarak belli. Tanımladıkları diziye saldırganca komutlarını eleman olarak eklemişler ve “cookieleri_getir” fonksiyonu ile “chrome” fonksiyonuna “cookies” “getAll” parametrelerini verip facebook.com’a ait tüm çerezleri çekmek istemişler ve atamışlar. Ardından “rapor_gonder” fonksiyonuna “success” ve çektiği çerezleri JSON formatında vermiş.
    Bu fonksiyon aldığı verileri “http://thiskuki.club/gez.php” adresine yollayan bir fonksiyon. Resimde görüldüğü üzere request için gerekli verileri ve domaini aynı diziden çekmekte ve başarıya ulaşmaya çalışmaktadır.
    Gönderilen siteyi henüz inceleme imkanım olmadı ancak vaktim olduğunda onu da inceleyeceğim. Genel olarak saldırının detayları bu şekilde. Daha bugün harekete geçtiler. Dikkat edin, aldanabilecek arkadaşlarınızı uyarın.
     
  2. jarmen

    jarmen Üst Tabaka

    Mesajlar:
    100
    Likes Received:
    54
    Bu yöntem öldü artık korkmanıza gerek yok :)
     
  3. SkullZ

    SkullZ Kadrolu Psikopat. Staff Member

    Co - Admin
    Mesajlar:
    1,488
    Likes Received:
    1,956
    Bana bundan lazımdı aq, ben bunu rahat rahat yediririm :D
     
    Code Red and Y4K4L4 like this.
  4. l0rxhell

    l0rxhell ./l0rx

    Mesajlar:
    888
    Likes Received:
    902
    olum sen milletin anasını boyayıp babasına tekrar satan adamsın yaşıosun bu hayatı çee
     
    SkullZ likes this.
  5. SkullZ

    SkullZ Kadrolu Psikopat. Staff Member

    Co - Admin
    Mesajlar:
    1,488
    Likes Received:
    1,956
    Bu hayat yaşanmaz mı be, hayal illegal emmiii çee
     
Loading...

Bu sayfayı Paylaş